Spécial sécurité : métriques hadopiques, ou comment pirater proprement

Aujourd'hui, nos confrères de CNIS, magazine spécialisé dans la sécurité des systèmes d'information, se penchent sur les résultats édifiants d'une étude de l'Inria intitulée « Espionner le monde depuis votre ordinateur portable : identification et profilage des fournisseurs de contenu et téléchargeurs massifs sur BitTorrent » : à partir d’une seule machine, et durant une période de 103 jours, les 5 chercheurs de l'institut ayant collaboré à l'étude sont parvenus à collecter 148 millions d’adresses IP et d’identifier 70 % des fournisseurs de contenu ainsi « surveillés ». Ils reviennent également le coût des vols de données, la dernière version du célèbre Snort et, enfin, sur le bug, la semaine passée, d'une mise à jour de McAfee.

Sommaire :
1 - Une fuite US rapporte plus, toujours plus
2 - Métriques Hadopiques, ou comment pirater proprement
3 - Et cochon qui s'en dédit
4 - McAfee : paterne austère

1 - Une fuite US rapporte plus, toujours plus

Selon une étude du Ponemon commanditée par PGP, la perte financière par victime de vol d’identité s’élèverait à 204 $ aux USA, contre 107 $ en Allemagne, 119 $ en France, 114$ en Australie et 98 $ en Grande Bretagne. En valeur cumulée, le coût de ces pertes de données a été estimé à 6,75 millions de dollars aux USA, 3,44 M$ en Allemagne, 2,57 M$ au Royaume Uni, 2,53M$ en France et 1,83 M$ en Australie. Ces estimations pour la plupart considèrent que près de la moitié des pertes estimées sont le reflet des projections de « perte de business » découlant de cette fuite d’information. Le Ponemon ne se prononce absolument pas sur la pertinence des veaux, vaches, cochons et couvées que ces Pérettes du cyber-monde regrettent sur leurs bilans comptables. 35% de ces pertes sont la conséquence d’externalisation à des entreprises tierce partie et 35 autres pourcents à « attaques malveillantes ou criminelles » estime le Ponemon. Si l’on compare l’évolution de la situation par rapport aux années précédentes, l’augmentation des pertes estimées (conséquence directe d’un accroissement de ces pertes), serait nettement plus importante en France que dans les autres pays couverts par cette enquête.

Ces métriques ont été réalisées au cours de l’année 2009, sur un échantillonnage de 133 « organisations » (entreprises, administrations etc) réparties sur plus de 18 secteurs industriels différents. Bien entendu, ces chiffres ne reflètent que les déboires d’entreprises du secteur industriel privé, nos institutions bancaires et administrations nationales étant, semble-t-il, des modèles d’intégrité, d’invulnérabilité et de sécurité des données personnelles…

2 - Métriques Hadopiques, où comment pirater proprement

Une équipe de l’Inria (MM Stevens LeBlond, Arnaud Legout, Fabrice Lefessant, Walid Dabbous et Mohamed AliKaafar) vient de publier un passionnant rapport qui a fait l’objet d’une présentation lors de la 3ème USENIX Workshop on Large-Scale Exploits and Emergent Threats (LEET'10) de San Jose. Intitulée « Espionner le monde depuis votre ordinateur portable : identification et profilage des fournisseurs de contenu et téléchargeurs massifs sur BitTorrent », cette publication revendique des résultats édifiants. A partir d’une seule machine, et durant une période de 103 jours, ces 5 chercheurs sont parvenus à collecter 148 millions d’adresses IP et d’identifier 70 % des fournisseurs de contenu ainsi « surveillés » durant la période de l’étude. Il est tout à fait possible, explique l’équipe, qu’une « partie adverse » puisse compromettre la confidentialité des informations personnelles de n’importe quel « peer » du réseau BitTorrent et ainsi identifier les plus gros téléchargeurs.

Distinguer les gros « fournisseurs de contenu » n’est pas très compliqué, précise le rapport. Il suffit de surveiller les annonces de nouveautés affichées sur Pirate Bay, IsoHunt et consorts. Identifier les gros téléchargeurs n’est guère plus complexe, d’autant plus que la plupart des « Trackers » reposent sur le code d’OpenTracker.

En examinant le protocole, et plus particulièrement les requêtes « annonces Start/Stop », …« nous avons collecté les adresses IP d’au moins 90% des « pairs » distribuant chaque contenu des trackers Pirate Bay » Ce qui, après une centaine de jours de requêtes/collectes, s’est soldé par une bibliothèque de 148 millions d’adresses IP échangeant environ 1,2 million de contenus uniques, soit 2 milliards de copies au total.

Les principaux fournisseurs de contenu ne constituent qu’une minorité des usagers du réseau P2P. Le top 100 est responsable de 30 % de l’alimentation en nouveaux contenus, le top 1000 de 60 %. Les plus gros « serial uploaders », tel eztv.it, peuvent atteindre des moyennes de 6,5 contenus importants par jour (généralement des films, des séries de 500 à 700 Mo). « Nous n’affirmons pas qu’il est facile de forcer ces fournisseurs de contenu à arrêter d’injecter du contenu dans BitTorrent, mais il est frappant [de constater] qu’un si petit nombre de fournisseurs de contenu puisse déclencher des milliards de téléchargements. De ce fait, il est étonnant que les groupes de lutte contre le piratage persistent à vouloir arrêter des millions de « téléchargeurs » plutôt qu’une poignée de responsables de l’alimentation en contenu ». Certes, seuls quelques rares esprits chagrins et mal informés pourraient y soupçonner un intérêt lucratif, un fallacieux prétexte visant à prélever un « impôt téléchargement » inépuisable, en bref un terreau sur lequel pousserait une manne financière.

Outre l’atteinte certaine à la vie privée des usagers des réseaux BitTorrent, l’étude des 5 chercheurs de l’Inria met également en relief le rôle important que joue les infrastructures réseau dans cette toile du Peer to Peer. A commencer par les mécanismes d’anonymisation : passerelles, VPN, tunnels Tor, proxys http et Socks, tous les moyens sont mis en œuvre par les usagers les plus importants. Les « stations d’hébergement ». Côté fournisseurs de contenu, l’on se protège également… et si possible en utilisant les services d’un fournisseur de services pas trop regardant. Une fois de plus, OVH est montré du doigt. Dans la liste des « Top 20 » fournisseurs, cet hébergeur est cité 8 fois. En seconde position l’Allemand Keyweb, mentionnée 3 fois. Cela veut-il dire que les Français seraient les plus abominables pirates de la création ? Pas franchement. Sur 1515 contenus estampillés OVH, 13 seulement contiennent le mot clef « FR », contre 552 le mot « Spanish ». Sur 623 titres diffusés par Keyweb, 228 étaient marqués du terme « Spanish », et aucun des mots « fr », « de » ou « ge ».

Côté « réception et partage », l’usage des boîtes intermédiaires, proxys, passerelles etc, semble naturellement répandu parmi les téléchargeurs les plus importants. La chasse à l’adresse IP à la sauce Hadopi est-elle fiable ? Absolument pas répondent en substance les chercheurs avec un aplomb scientifique. Car, selon les moyens utilisés, un même utilisateur peut utiliser des adresses multiples, tandis qu’une seule adresse IP (cas des proxy et gateways) peut masquer des centaines d’usagers différents. Foin de « seedfuck » et autres outils à brouiller les pistes et les adresses IP : le réseau lui-même ne permet pas techniquement d’établir dans tous les cas et avec une absolue certitude l’identité et la nationalité d’une personne se cachant derrière une adresse IP. Qui lira cette étude et qui saura l’interpréter ? L’on peut douter que ce travail passera inaperçu aux yeux des usagers des réseaux BitTorrent. Les avis sont limpides : utilisé tel quel, l’anonymat de chaque usager est quasiment impossible à préserver. Quelques mesures de précaution, telle l’utilisation de l’Onion Router, peuvent améliorer les choses… dans une certaine limite puisqu’il existe également des techniques permettant de « désanonymiser » un utilisateur Tor. La mise en œuvre de plusieurs astuces simultanées (VPN et proxy et gateway par exemple) rendent le travail des « parties adverses » particulièrement difficile, voir impossible en raison d’évidentes contraintes de rentabilité.

3 - Et cochon qui s’en dédit

Snort 2.8.6 « finale » vient de sortir... De nombreuses améliorations, notamment dans le traitement de http inspect, de la décompression gzip sur de nombreux paquets ainsi qu’un pré-processeur de « données sensibles ». Dans la foulée, il faut noter quelques modifications et mises à jour des bibliothèques de règles, signalées par Joel Esler dans les colonnes du Sans. Un nouvel outil de mise à jour des règles, Pulledpork, est également disponible sur GoogleCode.

Encore un peu de lecture cochonne (et de code porcin) avec un papier passionnant sur le nouvel environnement de détection « anti client-side attack » qui fit l’objet d’une présentation au HITB de Dubaï et d’un article sur le blog de l’équipe Snort. Cette approche de l’analyse du contenu dépasse et de très loin les fonctions de base d’un outil d’inspection du trafic réseau, puisqu’elle apporte à Snort non pas une simple fonction de détection de malware, mais la capacité de disséquer un élément nocif camouflé par différentes couches de compression et techniques d’évitement. Le code de ce projet baptisé NRT (Near Real Time Detection), sa présentation en détail et un article d’introduction sont également téléchargeables sur le site de l’éditeur.

4 - McAfee : Paterne austère*

Combien de postes de travail sous XP SP3 ont-ils été touchés par la « mise à jour autiste » de Mc Afee ? c’est la question que se pose (sans y répondre franchement) Robert Graham d’Errata Security. Après tout, écrit-il, XP SP3 demeure tout de même une « valeur sûre » dans le tissus industriel mondial. Car nombreuses ont été les entreprises qui ont boudé Vista et qui n’ont pas « encore » migré vers Seven pour diverses raisons : administratives, économiques (il est pratiquement nécessaire de changer tout le socle matériel destiné à recevoir ce nouveau noyau), stratégique etc. Ce qui, pense Graham, doit peser légèrement plus que les « 1 % du parc Windows » pudiquement estimé par McAfee. Comme de surcroît McAfee possède une part non négligeable des contrats « grand comptes » tant aux USA qu’en Europe, le « bug virus update » a dû pétrifier un peu plus de machines que l’éditeur de sécurité veut bien l’avouer. Qui se chargera d’une véritable enquête statistique, indépendante et objective ?

De son côté Mc Afee est « committed to reimbursing reasonable expenses » à ceux qui en feraient la demande, histoire de traiter l’affaire à l’amiable et éviter ainsi une « class action » ravageuse. Las, à l’heure où nous rédigeons ces lignes, le lien « Locate a local toll free support number » accompagnant cette proposition de dédommagement non chiffrée aboutissait invariablement sur une page d’erreur... Probablement la faute d’un IIS tournant sous XP SP3.

Mais ce qui est le plus intéressant, dans cette malheureuse histoire, c’est la commisération discrète affichée par la quasi-totalité des acteurs du marché. Une affliction de circonstance qui masque mal une gêne internationale, car ce genre de catastrophe peut arriver à tout le monde. « Tous ces systèmes de mise à jour automatiques sont, nous le savons bien, de formidables botnets en puissance » disent tous les spécialistes du domaine. « Si le premier d’entre eux est bien Windows Update, il est talonné par d’innombrables concurrents : les mécanismes de mise à jour d’Itune d’Apple, de Java, des logiciels et add-in Adobe… il n’y a pas que les antivirus qui bénéficient d’un droit de passage absolu sur nos machines ».

Un triple risque devrait-on préciser. Car les outils de mises à jour peuvent véhiculer un « bug » d’éditeur (l’affaire McAfee vient de le prouver) ou même un vecteur d’attaque direct si les mécanismes d’authentification et de vérification sont contournés par des BlackHats (voir à ce sujet les années de travail de Thierry Zoller, tant sur les A.V. que sur les « spywares publicitaires »). Il existe même un troisième « facteur déclenchant » probable que personne ne souhaite évoquer à haute voix : l’exploitation de ces « botnets industriels » dans le cadre d’un cyber-conflit. Aimablement pressé par un DoD quelconque durant une crise politique internationale, un McAfee, un Symantec, un Microsoft auraient parfaitement les moyens sinon d’immobiliser, du moins de semer une sérieuse pagaille sur les ordinateurs d’une « puissance ennemie ». Cette hypothèse remet sur le tapis les dangers de la « monoculture » que dénonce Dan Geer depuis plus de 10 ans.

Tout compte fait, l’on devrait verser un pourboire substantiel à l’équipe « mise à jour » de McAfee, pour avoir su orchestrer cette formidable campagne de sensibilisation.

NdlA Note de l'Auteur : sous les dehors d’une action empreinte de bonhommie et de gentillesse (paterne), McAfee nous dévoile les risques sérieux (austères) que représentent les mécanismes de mise à jour.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close